Wann muss ich den eine Datenschutz Folgenabschätzung durchführen? Fragte uns ein sichtlich genervter Kunde. Für uns Grund genug, diese Frage zu klären.

Was ist eine Folgenabschätzung?

Eine Folgenabschätzung ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Daten dafür verwendet werden, den betroffenen zu bewerten. Die Datenschutz-Folgenabschätzung dient der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte der Betroffenen. Die Risiken und deren Abwehrmassnahmen müssen in der Folgeabschätzung oder in einem eigenen Datenschutzkonzept dokumentiert werden.

Wann muss eine Folgenabschätzung durchgeführt werden?

Gemäss DSGVO immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes Risiko zur Folge hat. Hier einige durch die Datenschutzkonferenz erstellte Beispiele: Insolvenzverzeichnisse, Fahrzeugdatenverarbeitung, Offline Traking von Kundenbewegungen, Verkehrsstromanalyse, Fraud Prevention Systeme, Scoring, Bewertungsportale, Inkassodienstleistungen, Geolokalisierung von Beschäftigten, Soziale Netzwerke aller Art, Big Data Analysen von Kundendaten, Einsatz von RFID/NFC, Telemedizinlösungen, Fitnesstracker etc. (Die Liste ist nicht abschliessend).

Wie muss eine Folgenabschätzung durchgeführt werden?

Aus unserer Erfahrung hat sich eine Risikomatrix bewährt (Risiko, Eintrittswahrscheinlichkeit und Auswirkung). Abwehrmassnahmen für Bedrohungen mit der höchsten Eintrittswahrscheinlichkeit / Auswirkung müssen definiert und umgesetzt werden. Hier ein möglicher Ablauf:

  • Beschreibung des Verarbeitungsvorgangs inklusive Datenflüsse
  • ‎Prüfung der Notwendigkeit bezogen auf den ‎Verarbeitungszweck
  • Risikoquellen identifizieren ‎
  • Risikobeurteilung
  • Auswahl geeigneter Abhilfemassnahmen ‎
  • Bericht erstellen
  • ‎Abwehrmassnahmen umsetzen
  • ‎Abwehrmassnahmen auf Wirksamkeit testen
  • Überprüfung der Wirksamkeit der Massnahmen
  • Überprüfung und Audit einer DSFA und deren Aktualisierung

Detaillierte Handlungsanweisungen finden Sie hier:

Kurzbeschreibung Folgenabschätzung durch das Datenschutzzentrum

Vorgehensbeschrieb durch IHK München

Newsletter

Newsletter

Mit unserem E-Mail-Newsletter informieren wir Sie über Neuigkeiten zum Datenschutzgesetz.

You have Successfully Subscribed!